SAS
2018年秋、Kaspersky Labは中央アジア某国の外交機関に対する攻撃を検知しました。外交機関やその情報システムが各種政治勢力の興味の対象となることは、特に珍しくありません。しかし、この攻撃を取り上げるのには理由があります。そこで利用された新たなAPTフレームワーク「TajMahal」の存在です。
TajMahalは単なる一連のバックドアではなく、高い品質と優れた技術を併せ持つスパイウェアのフレームワークです。多数のプラグインを備え(当社のエキスパートチームは現時点で80種類の悪意あるモジュールを発見)、さまざまなツールを使ってあらゆる種類の攻撃シナリオを実現する能力を有しています。エキスパートチームによると、TajMahalは過去5年間にわたって活動を続けており、現在までに被害が確認された標的はただ1つですが、これはその他の被害者がまだ特定されていないことを示すにすぎません。
TajMahalは何が可能なのか
このAPTフレームワークは、「Tokyo」および「Yokohama」という2つの主要パッケージで構成されます。いずれも攻撃者の命名によるもので、感染したコンピューターのすべてで両パッケージが検知されています。Tokyoはメインのバックドアとして機能し、第2段階のマルウェアを配布します。興味深いことに、第2段階が始まってもTokyoはシステム内に残り、追加の通信チャネルとして動作します。一方、Yokohamaは第2段階で使用されるペイロードで、プラグイン、サードパーティ製ライブラリ、構成ファイルを完備した仮想ファイルシステムを作成します。Yokohamaは、実に広範な機能を有します。
- Cookieの窃取
- 印刷待ち文書の傍受
- 感染先に関するデータの収集(iOSデバイスのバックアップコピーのリストを含む)
- VoIP通話の録音およびスクリーンショットの撮影
- 被害者となった人が作成したCDイメージの窃取
- ファイルのインデックス作成(外付けディスクドライブ内のファイルも含む)。同一のディスクドライブを再度検知した場合に特定のファイルを窃取可能
まとめ
このように技術的に複雑なTajMahalのフレームワークは、非常に興味深く、関心を引く発見です。数多くの機能を備える膨大な数のプラグインは、他のAPTでは見られなかった規模です。ただ1つの標的のためにこれほどの投資を行ったとは考えにくく、現在判明しているよりも多くの標的が攻撃を受けた可能性が考えられます。技術面の詳細については、Securelistの記事(英語)をご覧ください。
カスペルスキー製品は、以下の検知名でTajMahalを検知およびブロックします。
- HEUR:Trojan.Multi.Chaperone.gen
この脅威は、Kaspersky Labの自動ヒューリスティック分析を使用して発見されました。TajMahalやこれに類似する脅威から安全を守るには、ふるまいベースの検知機能を備えるKaspersky Security for Businessのようなセキュリティソリューションの使用をお勧めします。
ヒント